Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad

Ausencia de reglas de autorización en Boot de Spring

Fecha24/04/2026
Importancia5 - Crítica
Recursos Afectados

Spring Boot: de la versión 4.0.0 a la versión 4.0.5.

Descripción

Spring ha publicado una vulnerabilidad de severidad crítica que encaso de ser explotada, podría permitir el acceso no autorizado a todos los endpoints.

Solución

Actualizar a la versión 4.0.6.

Detalle

CVE-2026-40976: en determinadas circunstancias, la seguridad web predeterminada de Spring Boot resulta ineficaz, permitiendo el acceso no autorizado a todos los puntos finales. Para que una aplicación sea vulnerable, debe cumplir los siguientes requisitos:

  • ser una aplicación web basada en servlets;
  • no tienen configuración propia de Spring Security y dependen de la cadena de filtros de seguridad web predeterminada.
    depende de spring-boot-actuator-autoconfigure;
  • no depender de spring-boot-health.

Si no se cumple ninguna de las condiciones anteriores, la aplicación no es vulnerable.